毕业设计中小型企业局域网组建论文.docx
《毕业设计中小型企业局域网组建论文.docx》由会员分享,可在线阅读,更多相关《毕业设计中小型企业局域网组建论文.docx(9页珍藏版)》请在冰点文库上搜索。
毕业设计中小型企业局域网组建论文
摘要I
第一章局域网的安全概述1
1.1局域网存在安全分析4
1.2局域网的病毒威胁4
第二章企业的现状及需求分析5
2.1公司背景6
公司的基本情况及局域网拓扑图6
2.2公司的网络安全现状6
2.3公司的需求及分析7
公司需求7
需求分析9
总体需求9
第三章局域网的安全实施与策略10
3.1防火墙部署10
防火墙简介10
防火墙类型与配置10
防火墙的地址转换能力10
3.2内部网络部署监控11
百络网警的功能简介11
百络网警的特点11
3.3病毒的防御措11
安装杀毒软件11
12
电子邮件病毒防范12
3.4入侵检测12
入侵检测方法12
入侵检测系统部署13
入侵预防措施14
3.5群集14
基于服务器的群集29
3.6数据备份与恢复30
结论35
致谢36
第一章局域网的安全概述
局域网安全是在一个局部的地理范围内(如一个学校、工厂和机关内,将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网络系统没有被危险虚拟事物侵害的状态。
互联网的迅速普及,局域网应用已成为企业发展中必不可少的一部分。
然而,在感受网络所带来的便利的同时,也面临着各种各样的进攻和威胁:
机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵。
目前有些企业建立了相应的局域网络安全系统,并制定了相应的网络安全使用制度,但在实际使用中,由于用户对操作系统安全使用策略的配置及各种技术选项意义不明确,各种安全工具得不到正确的使用,系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷,导致用户计算机操作系统达不到等级标准要求的安全等级。
1.1局域网的安全威胁
局域网络安全隐患是利用了网络系统本身存在的安全缺点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
局域网的安全威胁通常有以下几类:
1来自互联网的安全威胁
局域网是与Inernet互连的。
由于Internet的开放性、国际性与自由性,局域网将面临更加严重的安全威胁。
如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自Internet 黑客的各种攻击。
他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网络中重要信息。
还能通过发送大量数据包对网络服务器进行攻击,使得服务器超负荷工作导致拒绝服务,甚至使系统瘫痪。
2来自局域网内部的威胁
内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部非授权人员有意或无意的偷窃机密信息,更改网络配置和记录信息,破坏网络系统,删除数据等,这些都将给网络造成极大的安全威胁。
3欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,而正是由于资源共享的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。
4服务区域没有进行独立防护
如果局域网中服务器区域不进行独立保护,局域网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性。
5计算机病毒及恶意代码的威胁
网络用户没有及时安装操作系统补丁和防病毒软件、也没有及时更新防病毒软件而造成计算机病毒侵入。
以上特点,造成局域网内的病毒传播速度快、数据安全性低、电脑相互感染、数据经常丢失。
1.2局域网的病毒威胁
局域网(LAN)就是“局部区域网络”的简称,它主要是指在小范围内由服务器和多台电脑组成的工作组互联网络,属于计算机网络应用的一个分支。
由于通过服务器把网内每一台电脑连接,因此局域网内的信息的传输速率比较高,同样也给病毒传播提供了有效的通道,通常病毒在局域网内通过下面几种途径相互传播:
1)由于局域网很大的一部分用处是在共享资源方面,而正是由于共享资源的“数据开放性”,造就了病毒感染的直接性。
2)由于有些服务器属于低端服务器或者干脆是由普通pc改制而成,在性能上不是很强,因此各电脑在通过服务器和外界数据传输时,一旦服务器感染外界病毒,所有需要经过服务器的数据也会被顺带感染,进而造成整个网络感染病毒的情况。
3)局域网最大的特点就是网内计算机的数据快速、便易的传递,如果其中一台计算机感染病毒,任何与该电脑数据传递都必会感染病毒
4)如果局域网中其中一台电脑感染病毒,又通服务器来进行信息传递,就会感染服务器,现在局域网中任何一台通过服务器信息传递的电脑,就会感染病毒。
5)网络使用者对病毒的安全意识不强,因此会造成经常性的病毒感染。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,网内电脑相互感染,病毒屡杀不尽。
第二章企业的现状及需求分析
2.1公司背景
盛千公司是一家专业从事服装设计、制板、生产、销售于一体的中小型企业,主要致力于制服的设计和生产。
公司的基本情况及局域网拓扑图
盛千公司是一家制衣的中小型企业,现有65台计算构成的一个中小型局域网。
盛千公司有4个部门分别是:
行政部、研发部、供销部、生产部。
公司共有三栋楼,1号楼,2号楼,3号楼。
各栋楼之间得知距离50米。
1号楼:
三层,作为行政办公楼,共有20台电脑分布在各个办公室中。
一楼5台,二楼10,三楼5台;
2号楼:
五层,产品研发部,供销部,共有30台电脑,其中20台集中在三楼研发部。
设计室中设一个机房。
其他10台分散在各个办公室中;
3号楼:
5层,生产车间,每层一个车间,每个车间有3台电脑,共15台。
2.2公司的网络安全现状
盛千公司的计算机操作系统是windows98,安全防范方面也部署了防火墙、瑞星杀毒软件。
虽然部署了防火墙、瑞星杀毒软件,但还是受到网络攻击,冲击波等危害。
导致大部分的计算机瘫痪,运行缓慢,大量信息资料被篡改和删除,数据丢失。
2.3公司需求及需求分析
盛千公司所从事的服装设计,销售对网络系统都有相对的重要性。
内部办公运用都需要网络的支持,为了提高网络的可用性、可控性、安全性、并有一定的可扩展性。
在公司内建立一个完善、安全、易于操作、维护,并自动化管理的局域网网络,针对服装设计,销售满足各项的需要。
借鉴此次局域网受到的危害,公司要求在项目的规划上和实施中采集高强的防火墙,服务器,网络设备以及系统管理模式,实现公司内部所有的信息资源合法的运用和完善管理。
使所有员工能够方便熟悉、安全高效地访问公司的网络运用服务和因特网。
针对盛千公司的安全现状以及公司的规划需求,对此考虑建立一个通畅、安全、易于操作的局域网网络。
1)对于公司网络有大量的信息传输、共享资源。
使员工有效的利用网络资料,提高效率。
因此,需一条10M带宽以太网方式的宽带接入链路,提高访问因特网速度;
2)对于公司的内部网络安全,防止内部非授权人员有意或无意的偷窃机密信息,更改网络配置、记录信息,破坏网络系统,删除数据等,这些都将给内部网络造成极大的安全威胁。
因此,需进行用户访问权限的设置;
3)对于公司员工信息交流和网络运用便利熟悉。
因此,需构建一个易操作的局域网网络。
第三章局域网的安全策略
3.1防火墙
防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件。
防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制,提供可控的过滤网络通信,只允许授权的通信,目的是保护网络不被他人侵扰。
通常,防火墙就是位地内部网络或Web站点与因特网之间的一个路由器或一台计算机,又称堡垒主机,它是对所有网络通信流进行过滤的节点,防火墙通过审查经过堡垒主机的每一个数据包,判断它是否匹配事先设置的过滤规则。
如果满足,根据控制机制做出相应的动作。
如果不满足,则将数据包丢弃,从而保护网络的安全。
防火墙类型与配置
防火墙技术根据实现的设备可以分为硬件防火墙和软件防火墙;根据防范的方法和侧重点的不同,可以分为很多种类型,但总体上可以分为包过滤防火墙、代理服务型防火墙、和网络地址翻译等。
包过滤防火墙
数据包过滤(PacketFiltering技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlList,ACI,。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合来确定是否允许该数据包通过。
包过滤防火墙的优点是:
它对用户来说是透明的,处理速度快且易于维护。
包过滤防火墙的缺点是:
非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;数据包的源地址、目的地址和IP的端口号都在数据包的头部,可以很轻松地伪造。
IP地址欺骗是黑客比较常用的针对包过滤防火墙的攻击手段
代理服务型防火墙
代理服务器有两个主要的部件:
代理服务器和代理客户。
代理客户端的用户面对的是代理服务器而不是因特网上真正的服务器。
代理服务器评价来自客户的请求,决定认可哪一个或否认哪一个。
如果一个请求被认可,代理服务器代表客户接触真正的服务器,并且转发从代理客户到真正的服务器的请求,将服务器的响应传送给代理客户。
代理服务器并非将用户的全部网络请求提交给因特网上的真正的服务器,因为代理服务器能依据安全规则和用户的请求做出判断,看是否代理执行该请求,所以它能控制用户的请求,有些请求可能会被否认,比如FTP代理就可能拒绝用户将文件往远程主机上传送,或者它只允许用户下载某些特定的外部站点的文件。
代理服务可能对于不同的主机执行不同的安全规则,而不对所有主机执行同一个标准。
应用代理防火墙(ProxyService也称链路级网关或TCP通道。
它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。
当代理服务器接收到用户对某个站点的访问请求后就会检查该请求是否符合控制规则。
如果规则允许用户访问该站点,代理服务器就会代替用户去访问,并取回所需信息,然后再转发给用户。
内外用户的访问都是通过代理服务器上的“链接”来实现的,从而起到了隔离防火墙内外计算机系统的作用。
此外,代理服务器也对过往的数据包进行分析、注册登记,形成报告,同时当发现有被攻击迹象时会向网络管理员发出警报,并保留攻击记录,为证据收集和网络维护提供帮助。
网络地址翻译
网络地址翻译也是一种重要的防火墙技术,因为它对外隐藏了内部的网络结构,外部攻击者无法确定内部网络的连接状态。
而且不同的时候,内部网络向外连接使用的地址都不同,给外部攻击者造成了困难。
同样,NAT通过定义各种映射规则,屏蔽外部的连接请求,并可以将连接请求映射到不同的主机上。
网络地址翻译都和IP数据包过滤一起使用,这就构成了一种更复杂的包过滤型防火墙。
仅仅具备包过滤能力的路由器,其防火墙能力是有限的,抵抗外部人侵的能力比较差,如果和网络地址翻译技术结合,就能起到更好的安全保证。
首先需要配置NAT,步骤如下。
(1配置外部网络的地址池。
假设外部网络有10个地址可以使用,则配置的命令如下:
(2配置访问控制列表,命令如下:
[Quidway]acl1
(3允许私有内部网络中的主机进行NAT转换,命令如下:
(4连接外部网络接中,命令如下:
[Quidway]ints0
(5外部网络接口IP地址,命令如下:
(6进行网络地址翻译即NAT,命令如下:
[Quidway]natoutbound1address-groupoutaddress
Web服务器置于防火墙之外图1
图2
防火墙只能对内网的主机提供一定的保护功能。
如果将Web服务器放置在防火墙之外,防火墙就不会对该服务器有任何的防护作用。
因此,在防火墙主机上也不需要有任何的设置了。
通常,将Web服务器放置在接入路由器和内部防火墙之间的非军事化区域,在接入路由器上须要配置NAT和端口映射功能。
防火墙的地址转换能力
3.2内部网络部署监控软件
3.3局域网病毒的防御措
3.4入侵检测
3.5群集
3.6数据备份与恢复
结论
致谢
升级会员 